How to become an author
Search
Write a publication
Pull to refresh

Comments 39

та не знает он, ты бы еще ifconfig попросил показать (sarcasm)
Rating is hidden
у socks есть огромный недостаток, по сути нету шифрования и как следствия все знаю куда вы подключаетесь. Нужно сделать socks over ssl и добавить поддержку этого протокола в клиенты.
Rating is hidden

[linux] лучше всего socks over ssh:


ssh server -D8765

данная команда просто использует ssh подключение для того чтобы открыть локальный (127.0.0.1) socks5 proxy на указанном порту


при этом, на удаленный сервер ставить вообще ничего не нужно
не слишком удобно для постоянного использования, но зато работает везде и сразу

Rating is hidden
работает везде и сразу

Win8.1 — не работает :)
использую plink
и да. везде? вы к цысковскому оборудованию пытались так подключиться? :)
Rating is hidden
Эммм… Во первых, я указал что это способ для linux — причём тут win 8.1?
Во вторых, причём тут цысовское оборудование? Статья про запуск прокси на centos == «на своём забугорном сервере». Я просто написал что если нужен по быстрому шифрованный socks proxy через свой серевер — оно работает само
Rating is hidden
Присоединяюсь,
также можно настроить и Firefox на работу через прокси, дополнительно решается проблема в подменой DNS провайдерами.
Rating is hidden
CentOS 7

вместо:
sudo ifconfig

, которого нет, но можно поставить: 
sudo yum -y install net-tools

использовать нужно:
ip addr


Далее
Разрешаем порт в фаерволе

вернее будет:
sudo vim /usr/lib/firewalld/services/sockd.xml

Описываем наш сервис:
<?xml version="1.0" encoding="utf-8"?>
<service>
    <short>sockd</short>
    <description>My sockd Server.</description>
    <port port="433" protocol="tcp" />
</service>

И добавляем правило:

sudo firewall-cmd --reload
sudo firewall-cmd --get-services
sudo firewall-cmd --permanent --zone=public --add-service=sockd
sudo firewall-cmd --permanent --list-all
sudo firewall-cmd --reload


рекомендую также перенести ssh порт на другой, запретить подключение по ssh для всех пользователей кроме основного


Так же запретить соединение для root, авторизацию по паролю — только ключи и настроить разрыв сессии при простое.
Rating is hidden
Вообще лучше VPN сервер поднять, а чтобы не светить его можно к нему через TOR соединяться (OpenVPN умеет). TOR с обфусцированным мостом. Так надежнее и спокойнее =)
Rating is hidden

Купил впс за 1 евро в чехии, поднял там ikev2, все работает с компа и мобилы. 2 дня пытаюсь завести в него весь трафик с роутера Ubiquiti EdgeRouterX, который под debian wheezy. Это просто ад какой-то поднять ikev2 клиент на линухе. После кровавых боев он наконец-то подключается, но как, черт бы его побрал, отправить через впн весь трафик, учитывая, что инет в него идет через pppoe?

Rating is hidden
Если не секрет где впс по 1евро? Дешевле двух не видел.
Rating is hidden
Если не сложно, то можно поделиться настройки EdgeRouterX?
Rating is hidden
Зачем все таскают из конфигурации в конфигурацию эту портянку из отдельных адресов? Есть же список AS'ок, где всё это в нормальном виде:
91.108.12.0/22
149.154.172.0/22
91.108.16.0/22
91.108.56.0/23
149.154.168.0/22
91.108.4.0/22
91.108.8.0/22
91.108.56.0/22
149.154.160.0/20
149.154.164.0/22
Rating is hidden
С IPv6 аналогично: трёх последних записей с /48 вполне достаточно.
91.108.56.0/23, кстати, тоже можно выкинуть, есть /22, просто скопипастил так.
Rating is hidden
А как же sudo useradd --shell /usr/sbin/nologin proxyuser?
Чтобы юзер по ssh не гонял на сервер.
Rating is hidden
Кстати да)))
Надо бы заменить на nano))
Rating is hidden

Можете подсказать чем отличается
client от socks в контексте конфигурационного файла? "clientmethod" vs "socksmethod", "client pass" vs "socks pass"?
В man sockd.conf не достаточно понятно для меня это изложено =(

Rating is hidden
  • clientmethod — список методов авторизации клиента, которые будут по-умолчанию применены при его подключении к прокси-серверу на internal интерфейс.
  • socksmethod — список методов авторизации успешно подключившихся клиентов при их попытке выхода с сервера через external интерфейс.
  • client pass|client drop — один или несколько блоков, которые описывают действия при подключении клиентов, соотвественно, разрешить подключение (client pass) или запретить подключение (client drop) клиентов, указанных в выражении from:, следующих в пункт назначения to:. Причем, подключение from -> to будет разрешено только если клиент еще и успешно прошел авторизацию по одному из методов, указанных в списке clientmethod. Методы авторизации для конкретного блока можно переназначить, указав новый clientmethod внутри блока.

client pass {
    from: 0/0 to: 0/0
    clientmethod: none
}

Этот блок разрешает подключаться к серверу всем подряд пользователям, следующим куда угодно без дополнительной авторизации.


  • socks pass|socks drop — один или несколько блоков, по структуре и смыслу очень похожие на предыдущие, но обрабатывающие уже подключившихся клиентов на этапе их выхода через интерфейс external. Причем, подключение from -> to будет разрешено только если клиент еще и успешно прошел авторизацию по одному из методов, указанных в списке socksmethod. Методы авторизации для конкретного блока можно переназначить, указав новый socksmethod внутри блока.

Т.о. сначала мы принимаем решение, пускать ли подключение на сервер в блоке client pass, а потом отдельно принимаем решение, выпускать ли подключение наружу, дальше, в блоке socks pass.


Я могу ошибаться, но понял мануал именно так. И за неимением лучшего объяснения, предлагаю пользоваться пока моим.

Rating is hidden
А нравственные аспекты борьбы с терроризмом не мучают? — Если еще один норд-ост используя телегу данную устроят — то я ни причем?
Rating is hidden
Норд-Ост устроили без телеграма.
Rating is hidden
То-есть вы серьезно считаете, что если тг не будет, то и терроризма не будет?
Rating is hidden
когда в грузовикe, в баллоне тащили через страну бомбу, никакой телеграм не нужен был. только продажная милиция. запрет телеграмма эту проблему не решит.
Rating is hidden

Вчера попробовал поднять dante, но уж больно он память любит.
image


Судя по документации 64 воркеров хватит, чтобы обслужить около 500 пользователей.


Попробовал найти что-то хорошее/асинхронное, но не удалось. Поэтому по-быстрому написал на питоне свой: https://github.com/alexbers/tgsocksproxy. Он потребляет мало памяти, одновременно держит очень много пользователей и просто поднимается.


Работаю под ним уже сутки, полёт нормальный.

Rating is hidden
Сложно ли будет Вам «прикрутить» БД для ведения списка пользователей?
Rating is hidden

В самом простом виде база данных пользователей прикручивается очень просто, примерно так: https://pastebin.com/4v7xJdXL.


Весь прокси-сервер по-сути состоит из одного файла, размером ~250 строк, поэтому добавлять туда новую функциональность, в соотвествии со своими потребностями (напр. логирование, интеграция с ldap, статистика, другие разрешённые адреса проксирования) должно быть несложно. Сейчас он заточен на максимально простое развёртывание и использование.

Rating is hidden

По многочисленным просьбам применил этот патч к основной ветке. Ещё добавил вывод статистики раз в 10 минут. Её формат примерно такой:


Stats for 23.04.2018 23:01:22
tg: 4 connects (3 current), 0.00 MB
tg2: 0 connects (0 current), 0.00 MB
Rating is hidden
Ничего не работает, пишите инструкцию как это все снести )))
Я — ламер, кроме VPN ничего поднять не смог. Прокси не работает хоть об стену расшибись, пробовал уже и dante и ss5, все делал по инчтрукциям, видимо чегото не хватает.
Rating is hidden
Фаерволл есть? Порты открыты?
Rating is hidden
Нубский вопрос наверное — а вот эти вот все VDS и прочее что я оплачу и настрою под себя, они сегодня вечером или завтра не попадут в очередной список РКН по примеру амазона и DigitalOcean?
Rating is hidden
Могут и попасть. Но никто не мешает поменять IP. Тот же Амазон и DigitalOcean это позволяют
Rating is hidden
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2025, Habr